Autorisatie
Als u bij uw onderzoek naar eer en geweten probeert om aan deze richtlijn te voldoen, zullen wij uw onderzoek als geautoriseerd beschouwen. Wij werken met u samen om het probleem snel te begrijpen en op te lossen.
Richtlijnen
Voor de toepassing van deze richtlijn wordt onder "onderzoek" verstaan activiteiten waarbij u:
- Informeer ons zo spoedig mogelijk nadat u een echt of potentieel veiligheidsprobleem hebt ontdekt.
- Gebruik Exploits alleen voor zover nodig om de aanwezigheid van een zwakke plek te bevestigen.
- Geef ons voldoende tijd om het probleem op te lossen voordat u het openbaar maakt.
- Dien geen grote hoeveelheid kwalitatief slechte rapporten in.
Omvang
WAGO beperkt de omvang van de door WAGO aangeboden producten, met inbegrip van hardware, software of componenten met digitale elementen, niet. In geval van beveiligingsproblemen binnen onze digitale infrastructuur, zoals de WAGO-website of enige andere vorm van service die door het bedrijf wordt gebruikt, verzoeken wij u contact op te nemen met ons "Cyber Defense Center" via de volgende e-mail: cyberdefense@wago.com.
Melden van een zwakke plek
De in het kader van deze richtlijn verstrekte informatie wordt uitsluitend gebruikt voor defensiedoeleinden, d.w.z. om zwakke punten te verminderen of te verhelpen. Rapporten kunnen anoniem worden verzonden. Als u contactgegevens doorgeeft, bevestigen wij de ontvangst van uw rapport. Wij ondersteunen PGP-gecodeerde e-mails. Het PGP is via onze security.txt bereikbaar. E-mails die zonder PGP-codering zijn verzonden, worden mogelijk niet in aanmerking genomen.
Wat wij graag van u zouden willen zien
Om ons te helpen mogelijke zwakke punten te classificeren en te prioriteren, verzoeken wij u indien mogelijk de volgende informatie in uw rapport op te nemen:
- Betroffen versie van het product of de software (artikelnummer, firmwareversie enz.).
- Beschrijf de plaats waar de kwetsbaarheid is vastgesteld en de mogelijke gevolgen van het gebruik.
- Geef een gedetailleerde beschrijving van de stappen die nodig zijn om de beveiligingsproblemen te reproduceren (het demonstreren van conceptscripts of screenshots is handig).
- Indien beschikbaar: verwante documenten van de kwetsbaarheid (CVE, aankondigingen, versieaanwijzingen enz.).
- Stuur ons een bericht, indien mogelijk in het Engels.
Wat u van ons kunt verwachten
Als u ons uw contactgegevens wilt verstrekken, verbinden wij ons ertoe om zo open en snel mogelijk met u te overleggen.
- Wij zullen binnen een week bevestigen dat uw rapport is ontvangen.
- Ons team analyseert het rapport in samenwerking met het verantwoordelijke ontwikkelingsteam of de verantwoordelijke partners.
- Wij zullen u naar ons beste weten informeren over het resultaat van uw vaststelling en zullen zo transparant mogelijk uiteenzetten welke stappen wij tijdens het remediation-proces ondernemen, ook als er problemen of uitdagingen zijn die een oplossing kunnen vertragen.
- Wij zullen met u samenwerken om een CVE (die door onze coördinatiepartner CERT@VDE ter beschikking wordt gesteld) op te stellen en een gepaste erkenning voor de ondersteuning bij het beveiligen van onze producten te krijgen.
- Als we het veiligheidslek bevestigen, informeren we onze coördinatiepartner cert@vde.
- We zullen de gemelde problemen openbaar maken nadat een oplossing beschikbaar is of is gepubliceerd (wat altijd eerst komt). De kwetsbaarheid wordt in de vorm van een security advisor conform de CSAF 2.0-standaard gepubliceerd.
- Het beveiligingsprobleem wordt via onze coördinatiepartner cert@vde gepubliceerd.
- Wij zullen een open dialoog voeren om kwesties te bespreken.
Vragen
Vragen over dit beleid kunnen naar psirt@wago.com worden gestuurd. Wij nodigen u ook uit om contact met ons op te nemen met suggesties om dit beleid te verbeteren.